È ormai consolidata la convinzione che l’errore umano sia una delle cause principali degli incidenti informatici nelle aziende. In realtà non è così semplice: lo stato della sicurezza informatica di un’azienda è più complicato perché entrano in gioco diversi elementi. Per questo motivo, Kaspersky ha condotto uno studio in 19 Paesi, per conoscere le opinioni dei professionisti della sicurezza informatica che lavorano per Pmi ed enterprise di tutto il mondo, in merito all’impatto che i dipendenti hanno sulla sicurezza informatica aziendale. La ricerca mirava a raccogliere informazioni su diversi gruppi di persone che influenzano la sicurezza informatica, considerando sia il personale interno sia gli attori esterni.
Lo studio di Kaspersky ha rivelato che, oltre ai veri e propri errori, le violazioni delle policy di sicurezza informatica da parte dei dipendenti sono uno dei maggiori problemi per le aziende.
In merito al comportamento individuale dei dipendenti, il problema più diffuso risiede nel fatto che spesso agiscono intenzionalmente, in violazione delle norme stabilite, trascurando allo stesso tempo l’adempimento delle richieste aziendali. Secondo quanto riportato dagli intervistati, il 25% degli incidenti informatici degli ultimi due anni è stato causato dall’uso di password deboli o dalla mancata loro modifica tempestiva. Un altro 24% delle violazioni della sicurezza informatica è attribuibile alla visita di siti web non protetti da parte del personale. Inoltre, un ulteriore 21% ha riportato incidenti informatici causati dal mancato aggiornamento di software o applicazioni di sistema quando richiesto.
L'utilizzo di servizi o dispositivi non richiesti è un’altra delle principali cause di violazione intenzionale delle policy di sicurezza informatica. Quasi un quarto (24%) delle aziende ha subito incidenti informatici perché i dipendenti hanno utilizzato sistemi non autorizzati per la condivisione dei dati. I dipendenti del 21% delle aziende hanno effettuato intenzionalmente l’accesso ai dati attraverso dispositivi non consentiti, mentre il 20% del personale di altre aziende ha inviato dati a indirizzi e-mail personali. Un’altra azione segnalata è stata l’implementazione dello Shadow It sui dispositivi aziendali: l’11% degli intervistati ha indicato che questo ha portato a incidenti informatici. È allarmante che gli intervistati ammettano che, oltre al comportamento irresponsabile, il 20% delle azioni dannose sono state commesse dai dipendenti per guadagno personale. Un altro dato interessante è che le violazioni intenzionali delle policy di sicurezza informatica da parte dei dipendenti sono un problema relativamente importante nei servizi finanziari, come ha riferito il 34% degli intervistati in questo settore.
«Oltre alle minacce esterne alla cybersecurity, esistono molti fattori interni che possono portare a incidenti in qualsiasi organizzazione. Come dimostrano le statistiche, i dipendenti di qualsiasi reparto, sia che si tratti di specialisti non informatici che di professionisti della sicurezza IT, possono influenzare negativamente la cybersecurity sia intenzionalmente che involontariamente. Per questo motivo, è importante considerare i metodi per prevenire le violazioni delle policy di sicurezza informatica quando si garantisce la sicurezza, ovvero implementare un approccio integrato alla cybersecurity. Secondo la nostra ricerca, oltre al 26% degli incidenti informatici causati dalla violazione delle policy di sicurezza informatica, il 38% delle violazioni è dovuto a errori umani. Poiché i numeri sono allarmanti, è necessario creare una cultura della cybersecurity in azienda fin dall’inizio, sviluppando e facendo rispettare le policy di sicurezza e sensibilizzando i dipendenti alla cybersecurity. In questo modo, il personale si approccerà alle regole in modo più responsabile e comprenderà chiaramente le possibili conseguenze delle sue violazioni», ha commentato Alexey Vovk, Head of Information Security di Kaspersky.
Per proteggere l’infrastrutture aziendali dalle conseguenze di violazioni ai criteri di sicurezza informatica da parte dei dipendenti, Kaspersky mette a disposizione una serie di prodotti, con specifiche funzionalità di controllo delle applicazioni, del Web e dei dispositivi, in grado di prevenire attività potenzialmente pericolose e ridurre i rischi di infezione.